10月17日にWordPressの6.0.3が公開されましたが、更新はお済みでしょうか？

もし更新がお済みでなければ、今すぐ最新版にアップデートしてください。

WordPressの6.0.2以前のバージョンには、セキュリティの問題が多数みつかっています。

古いバージョンで見付かったセキュリティ問題の数々

数日前に、WordPressのセキュリティについてのニュースが流れてきました。

TECH+（テックプラス）

WordPressに複数の脆弱性、アップデートを

https://news.mynavi.jp/techplus/article/20221109-2508198/

JPCERTコーディネーションセンター(JPCERT/CC)は11月8日、WordPressに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってユーザーのWebブラウザにおいて任意のスクリプトが実行されたり、ユーザーのメールアドレスが取得されたりする危険性があるとされており注意が必要。

この記事の冒頭に

脆弱性を悪用されると、攻撃者によってユーザーのWebブラウザにおいて任意のスクリプトが実行されたり、ユーザーのメールアドレスが取得されたりする

と書いてあり、すぐ下にもメール投稿機能に関する危険性について触れたページのスクリーンショットが貼ってあります。

これを見ると、「うちはメール投稿機能なんて使ってないから関係ないかな」と思ってしまいそうです。

私もそう思ったのですが、その下を読むと、WordPress配布元のブログを紹介していました。

wordpress.org

WordPress 6.0.3 Security Release – WordPress News

https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/

ここを見ると、メール投稿機能のほかにも、合計で15個もセキュリティの問題が指摘されていました。

1. メール投稿機能でXSSが保存される
2. wp_nonce_ays （リンクの有効期限切れの通知）で外部サイトにリダイレクト
3. 「メールで投稿機能」で送信者メールアドレスが公開される
4. メディア ライブラリ – SQLi 経由で XSS を反映
5. wp-trackback.php の CSRF
6. カスタマイザー経由で保存された XSS
7. コメント編集機能から WordPress本体に XSS を保存
8. REST term/tag endpoint を介したデータ公開
9. マルチパート電子メールの内容が流出
10. 「WP_Date_Query」の不適切なサニタイズによる SQL インジェクション
11. RSS ウィジェット: 保存された XSS の問題
12. XSS を検索ブロックに保存
13. Feature Image Block: XSS の問題
14. RSS ブロック: 保存された XSS の問題
15. ウィジェット ブロックの XSS を修正

※XSS と SQLインジェクション：

どちらも、ホームページを開いた人に不正なプログラムを実行させて、マルウェア感染や情報漏洩などを起こします。

※CSRF：

ネット通販やネットバンキングなどを利用する人に、不正送金や不正な買い物などをさせます。

挙がっている内容をみると、RSS（ブログの最新情報）やコメント編集機能、検索機能に投稿のアイキャッチ画像など、あちこちに問題が見つかっています。

放っておくのは危険ですので、今すぐ最新版のWordPressにアップデートして、セキュリティの脆弱性を突かれないように備えておきましょう。

最新版のWordPressにアップデートする手順

1. WordPress管理画面にアクセスします。
2. 左メニューの【ツール】→【エクスポート】をクリックします。
3. 切り替わった画面をスクロールして【エクスポートファイルをダウンロード】ボタンをクリックします。
4. 「名前を付けて保存」画面が出てくるので、ドキュメントフォルダなどを指定して、エクスポートファイルをダウンロードします。（もしもの時に備えて、記事などのバックアップを取っておきます）
5. 左メニューの【更新】をクリックします。
6. 【WordPressの新しいバージョンがあります】と書いてあって、その下に【バージョン●●-jaに更新】というボタンがあれば、クリックして更新してください。

アップデートの手順自体は、上に書いたとおりでごく簡単な作業です。

古いバージョンのままで置いておくというのは、窓を開けっぱなしにして外出するようなもの。

悪党に気付かれたら侵入されてしまいます。

クリック数回で済む作業ですので、ぜひともアップデートしてください。

WordPressのセキュリティ対策の基本は「WordPress本体やプラグインを常に最新版に保つこと」です。

しかし、WordPress本体やプラグインのアップデートを長年していない場合には、

• 古いプラグインが最新のWordPressで動かない
• 古いプラグインのせいでWordPress自体が動かない

などのトラブルも起こり得ます。当会でも何度か、この種のトラブル対応も行なっております。

もし、ご自身でアップデートを行なうのが不安だという場合は、WordPressアップデートの代行を承っております。

地元密着なび

WordPressの不具合修正に関するサービス

https://www.localnavi.biz/wp.html#wp5

WordPressを使用したホームページが多くなり、不具合修正などのご依頼をしばしばいただきます。そこで、WordPress関連サービスとしてメニューを作ることにいたしました。ぜひお役立てください。ホームページの表示高速化WordPressで作るホームページは、データベースとのやり取りが必要になるため、ホームページビルダーなどで作るホームページよりも、どうしても表示速度が遅くなりがちです。一方、表示が遅いページだと、特にスマホユーザーは開くのを待たずに別のページに移ってしまいやすくなります。そこで、見込み客にホームペー…

WordPress本体やプラグインを最新に保つ以外にも、セキュリティ対策のプラグインを導入・設定をしておくとさらに安心です。

こちらの導入・設定代行も行ないます。

地元密着なび

WordPressの不具合修正に関するサービス

https://www.localnavi.biz/wp.html#wp6

WordPressを使用したホームページが多くなり、不具合修正などのご依頼をしばしばいただきます。そこで、WordPress関連サービスとしてメニューを作ることにいたしました。ぜひお役立てください。ホームページの表示高速化WordPressで作るホームページは、データベースとのやり取りが必要になるため、ホームページビルダーなどで作るホームページよりも、どうしても表示速度が遅くなりがちです。一方、表示が遅いページだと、特にスマホユーザーは開くのを待たずに別のページに移ってしまいやすくなります。そこで、見込み客にホームペー…

マルウェアに感染してしまったという方のために、マルウェア駆除も承ります。

地元密着なび

WordPress・Movable Typeのマルウェア駆除サービス

https://www.localnavi.biz/hp/service-hp/anti_malware.html

このサイトはコンピュータに損害を与える可能性がありますグーグルで検索していると、たまに【このサイトはコンピュータに損害を与える可能性があります】という表示がでているページを見かけます。※参照：気が引けるのでモザイクをきつめに掛けています。警告を無視して（または気付かずに）リンクをクリックすると、本来のページではなく、こんな表示が出ます。※参照：また、ヤフーなどほかの方法でアクセスした場合でも、ChromeやFirefoxブラウザを使っている方は警告画面が出ます。※Internet Explorerだと表示されません。自社のホ…

手動でのアップデートや自動アップデートで不具合が起こった方も、できる限り対処いたします。

ただし、どうなっているかを見せていただいてからの判断となります。

まずは下記フォーム・LINE公式アカウントからお気軽にお問い合わせください。

投稿者プロフィール

新谷貴司地元密着なび代表

全国の小さな施術院やお店・事務所がインターネットを使ってお客様を増やすための手助けと、メルマガ＆ブログでの情報発信をしています。

・ホームページ制作＆リニューアル
・SEO＆MEO（ローカルSEO）
・ホームページやブログの更新代行
・SNSの活用サポート

詳しいプロフィールはこちら

最新の投稿

• 2026年1月29日ローカルSEO(MEO)MEOの重要項目「サイテーション」はスペースの半角・全角まで統一すべきか？
• 2026年1月22日AI（人工知能）親スラッグ削除から古いプラグイン延命まで！生成AIで行うプログラム修正法
• 2026年1月15日ホームページ緊急のHPリニューアルも受け付けております
• 2026年1月15日当会のノウハウ・サービス不要なページを削除してSEOとコンバージョン対策を